À peine une semaine après que Clubhouse ait promis des mesures pour protéger les données des utilisateurs, cette position est déjà mise à mal. Un utilisateur encore non identifié a diffusé plusieurs conversations audio provenant de différentes salles.

Une faiblesse structurelle

Tout ce qui brille n’est pas or. Si Clubhouse est une plateforme sociale dont la popularité grimpe en flèche, sa fraicheur révèle malheureusement des problèmes de sécurité. Cette application, accessible uniquement sur invitation, permet à ses utilisateurs de créer des salons afin d’y lancer des discussions, uniquement en audio. Il y a un administrateur, ou hôte, quelques intervenants autorisés à s’exprimer librement, puis des participants. Tout le principe d’une table ronde virtuelle, réservée à quelques « happy few » ayant été invités au préalable.

Tout récemment, le Stanford Internet Observatory avait révélé un lien entre Clubhouse et la société Agora. Cette entreprise chinoise offre à l’application des technologies d’enregistrement en temps réel, tout ce qui fait que le service est ce qu’il est. Cependant, les données échangées avec Agora ne sont pas chiffrées, laissant entendre que Pékin, ou l’entreprise elle-même pourrait récupérer l’audio brut des utilisateurs, leur identifiant, et le canal sur lequel ils échangent. Clubhouse avait alors assuré que les données des utilisateurs étaient protégées, et qu’ils travaillaient à renforcer la sécurité de leur application.

Clubhouse n’est finalement pas si privé

Que nenni ! À peine quelques jours plus tard, un développeur chinois dévoile sur GitHub une version Android de Clubhouse, alors qu’il n’existe qu'une version iOS officielle. Son code permet à n’importe qui d’écouter des conversations sans accès ni invitation.

Capture d'écran des flux audio de Clubhouse accessibles en dehors de l'application.

Capture d'écran des flux audio de Clubhouse accessibles en dehors de l'application. Source : siliconANGLET

Grâce à ce code, une autre personne a été en mesure de diffuser les flux audio de plusieurs salles sur le site du développeur. Rapidement, les équipes de l’application ont « banni définitivement » l’accès de cette personne, tout en ajoutant des « protections » pour empêcher toute nouvelle tentative.

Entre les liens du réseau social avec Agora, et cette nouvelle révélation, « tous les utilisateurs doivent partir du principe que toutes les conversations sont enregistrées » explique John Furrier, directeur de la publication de siliconANGLE, média spécialisé dans la cybersécurité, qui a révélé cette faille.

D’autres problématiques commencent à faire surface sur la toile, en même temps que Clubhouse continue de gagner en popularité. Lourdes Turrecha, PDG d’une société de conseil en sécurité a détaillé dans un article sur Medium que le réseau social accédait non seulement aux données de ses contacts, mais également à ses informations sur Twitter.

Pour une plateforme qui se veut privée, avec des discussions plus ou moins opérées dans l’intimité d’une petite pièce virtuelle, de sérieux problèmes de sécurités sont mis au jour. L’importance qu’occupe cette problématique chez les utilisateurs de Clubhouse, souvent professionnels dans le numérique, pourrait entrainer un exode vers d’autres solutions. Voilà qui tombe à pic, puisque Facebook travaille sur une solution similaire, et Twitter a déjà lancé Spaces sur plusieurs marchés, mais pas encore en France.